El pasado viernes, un fallo en los sistemas de Microsoft y CrowdStrike provocó un caos global en diversos sectores, especialmente en el transporte aéreo. Este incidente también afectó a empresas de los sectores financiero y de medios de comunicación, entre otros.
El fallo de CrowdStrike afectó gravemente al transporte mundial, con un total de 33.000 vuelos retrasados y 3.700 cancelados, según datos de FlightAware. En España, los aeropuertos gestionados por Aena también sufrieron las consecuencias, con la cancelación de unos 400 vuelos, lo que representa un 6,5% de las operaciones del día.
Origen del problema
Este fallo tiene su origen en un servicio de seguridad de Windows llamado CrowdStrike, una herramienta cuyo objetivo es bloquear malware y que está integrado en los sistemas de Microsoft. La compañía afirma en su blog oficial que la causa es «un cambio de configuración en una parte de nuestras cargas de trabajo de backend de Azure que causó la interrupción entre el almacenamiento y los recursos informáticos, y que ha resultado en fallos de conectividad»; por lo tanto, esto ha afectado a los «servicios posteriores y dependientes de Microsoft 365».
Análisis técnico del fallo
El problema técnico surgió debido a un error de puntero NULL en el lenguaje de programación C++, utilizado por CrowdStrike. Este tipo de errores ocurre cuando un programa intenta acceder a una dirección de memoria inválida, lo que provoca un fallo crítico del sistema.
Error de Puntero NULL
En C++, la memoria se gestiona mediante punteros que apuntan a direcciones específicas. Un puntero NULL es un puntero que no apunta a ninguna dirección válida. Si un programa intenta acceder a una dirección de memoria a través de un puntero NULL, el sistema operativo detiene inmediatamente el programa para evitar daños mayores.
Consideremos el siguiente código en C++:
struct Obj {
int a;
int b;
};
Obj* obj = NULL;
print(obj->a);
En este ejemplo, obj es un puntero NULL. Intentar acceder a obj->a resulta en un intento de leer una dirección de memoria inválida, lo que provoca un fallo del sistema.
Impacto en el sistema
En el caso del fallo de CrowdStrike, el programa intentó acceder a la dirección de memoria 0x9c (156 en decimal), una región de memoria no válida. Este error ocurrió en un controlador del sistema, que tiene acceso privilegiado al hardware del ordenador. Como resultado, el sistema operativo se vio obligado a detenerse para evitar daños, provocando el conocido «pantallazo azul de la muerte» (BSOD).
Soluciones propuestas por CrowdStrike y Microsoft
Si eres uno de los afectados, CrowdStrike Engineering ha publicado una guía que permite resolver dicho fallo informático:
- Iniciar Windows en modo seguro o en el entorno de recuperación de Windows.
- Entrar en
C:\Windows\System32\drivers\CrowdStrike - Localizar el archivo
C-00000291*.sys - Eliminar dicho archivo mencionado.
- Iniciar el ordenador con normalidad.
Como los terminales se han bloqueado (error conocido como ‘la pantalla azul de la muerte’), no pueden actualizarse a distancia, por lo que el problema debe resolverse manualmente, terminal por terminal.
Herramienta de Recuperación de Microsoft
Para facilitar la solución de este problema, Microsoft ha lanzado una nueva utilidad como parte de su Herramienta de Recuperación. Esta herramienta crea un USB booteable que se encarga de reparar el fallo de CrowdStrike de un modo más automatizado. La intención de Microsoft es proporcionar a los responsables de sistemas una alternativa que no requiera una intervención manual completa.
Pasos para Utilizar la Herramienta de Recuperación
- Descargar la utilidad desde la web oficial de Microsoft.
- Seguir los pasos indicados para crear la unidad USB booteable.
- Iniciar los ordenadores afectados desde la unidad USB.
- Permitir que la herramienta complete el proceso de reparación automáticamente.
La herramienta de recuperación firmada por Microsoft se puede encontrar en el Centro de Descargas de Microsoft. En esta publicación se incluyen pasos detallados de recuperación para clientes de Windows, servidores y sistemas operativos alojados en Hyper-V. Las dos opciones de reparación son las siguientes:
- Recuperar desde WinPE: Esta opción produce un medio de arranque que ayudará a facilitar la reparación del dispositivo.
- Recuperar desde modo seguro: Esta opción produce un medio de arranque para que los dispositivos afectados puedan iniciar en modo seguro. El usuario puede entonces iniciar sesión usando una cuenta con privilegios de administrador local y ejecutar los pasos de recuperación.
Consecuencias para CrowdStrike y Microsoft
El fallo no solo causó problemas operativos, sino que también tuvo repercusiones financieras significativas. Las acciones de CrowdStrike cayeron un 13,46% en Wall Street debido a la actualización defectuosa de su sensor Falcon. Este incidente ha dañado la reputación de la compañía y ha llevado a recortes en las valoraciones de sus acciones por diversas firmas de inversión, como Piper Sandler, que redujo su precio objetivo de 400 a 310 dólares.
Hoy, el Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos envió una carta a CrowdStrike para que su director ejecutivo, George Kurtz, testifique sobre el fallo que ha provocado la caída de millones de equipos críticos en cientos de empresas e instituciones. En la carta se cita a Kurtz ante el Subcomité de Ciberseguridad y Protección de Infraestructura, para declarar el miércoles, sobre lo ocurrido la semana pasada.
La carta reconoce el trabajo de la empresa de ciberseguridad para solucionar el problema lo antes posible y minimizar el daño, en colaboración con Microsoft, cuyos equipos Windows fueron los principales afectados.
